3CXはキプロスに本社を置くIPBX(インターネットプロトコル構内交換機)ソフトウェア開発事業者で、同社製品は日本を含む世界で広く利用されています。3CX製品がサプライチェーン攻撃を受けていることが明らかになり、攻撃には北朝鮮が関与しているとみられています。
センチネルワンのEDRが動作を検知して発覚
3CXのデスクトップVoIPクライアントのアップデートにセンチネルワンのEDRが反応したことで攻撃が発覚したということです。しかし、3CX社は当初、センチネルワンの誤検知と主張し、センチネルワンを使用している3CX製品のユーザーにセンチネルワンに連絡をするように求めたということです。センチネルワンは3月29日に「3CXデスクトップAppをトロイの木馬化するサプライチェーン攻撃が継続している」とのブログを公開。その内容は以下のようなものです。
- 2023年3月22日時点でセンチネルワンは人気の音声およびビデオ会議ソフトウェア製品である3CXDesktopAPPの動作検出の急増を確認した。
- 動作検出によりセンチネルワンはトロイの木馬化したインストーラーの実行を阻止し隔離した。
- トロイの木馬化された3CXDesktopAppは多段階攻撃の第1段階で、最終的には第3段階のインフォスティーラーDLLにつながる。
- 攻撃者は少なくとも2022年2月から膨大なインフラストラクチャを登録している。
- MacOS感染の第2段階のペイロードが限定的に展開されている。
3CXは4月1日のブログで、悪意のある攻撃者が3CX製品の脆弱性を悪用しているとの報告を3月29日に第三者から受け取ったことを報告するとともに、マンディアントに調査を依頼したことを明らかにしました。そして、ユーザーにすべてのWindowsまたはMacOSコンピューターから3CX Electron デスクトップアプリケーションをアンインストールするように求めました。
Trading Technologies社への攻撃から派生か
マンディアントの4月20日のブログによると、3CXに対する侵害の端緒はTrading Technologiesのウェブサイトからダウンロードした悪意あるソフトウェアだということです。Trading Technologiesは電子取引プラットフォームを提供している企業のようですが、3CXによると3CXの従業員が自身のPCにTrading Technologiesのウェブサイトからソフトウェアをダウンロードした際、そのソフトウェアにVEILEDSIGNAL マルウェアが含まれていたため、攻撃者による3CXの内部侵害が始まり、システムの認証情報が窃取され、さらに攻撃者は3CXのシステムを横方向に移動してWindowsとMacOSの両方のビルド環境が侵害されサプライチェーン攻撃に至ったということです。
マンディアントによると影響を受けたのは3CX DesktopApp 18.12.416 以前で、ダウンローダー SUDDENICON を実行する悪意のあるコードが含まれていたということです。マンディアントはこの攻撃についてUNC4736の活動として追跡しているということです。UNC4736は、マンディアントが追跡している複数の北朝鮮のオペレーター、特に金融目的のサイバー犯罪活動に関与しているオペレーターと重複しており、金銭を目的とした北朝鮮の「AppleJeus」活動に関連している可能性があるようです。
UNC4736の攻撃は、Trading Technologies社に対するサプライチェーン攻撃の結果、3CXが侵害されて3CXに対するサプライチェーン攻撃となっているもので、マンディアントは「ソフトウェアサプライチェーン攻撃が別のソフトウェアサプライチェーン攻撃につながるのを確認したのは今回が初めて」だとしています。
■出典
https://www.3cx.com/blog/news/security-incident-updates/
https://www.3cx.com/blog/news/mandiant-security-update2/
https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise